UIエクスペリエンスを向上させるために、自分のサイトを「AJAX化」しようとしています。パフォーマンスの観点からも、UpdatePanelを削除しようとしています。私はEncosiaで、 PageMethodsを使用して投稿する方法を示すすばらしい記事に出くわしました。私の質問は、本番環境でのページメソッドの安全性はどれくらいかということです。公開されているので、誰でもサーバーに直接POSTするJSONスクリプトを作成できますか、それともクロスドメインチェックが行われていますか?My PageMethodsは、データをデータベースに書き込みます(フィルタリング後)。
ページでフォーム認証を使用していますが、ページの読み込み時に、認証されていないユーザーをログインページにリダイレクトします。このページのページメソッドは、ユーザーがメソッドに直接POSTする場合、認証をチェックする必要がありますか、それともその認証はページ全体に継承されますか?(基本的に、ユーザーがPageMethodにのみ投稿できたとしても、ページサイクル全体が発生しますか?)
ありがとう
PageMethodsは、それらが存在するハンドラーと同じくらい安全です。
FormsAuthenticationは、ログインページを除くすべてを保護します。
ログインなどの保護されていないハンドラーでは、1)機密性がない、または2)ユーザーを検証するメソッドのみを公開する必要があります。
編集:CSRFとXSSに関するコメントやその他の回答に応じて、http: //weblogs.asp.net/scottgu/archive/2007/04/04/json-hijacking-and-how-asp-net-ajax-1を参照してください。 -0-mitigates-these-attacks.aspx
CSRF攻撃から保護しようとしています。
これらの攻撃は、POSTパラメータに認証コードを要求し、最初のページ読み込みで認証コードを提供することで防ぐことができます。(認証コードはIPアドレスごとおよびユーザーごとである必要があり、すぐに期限切れになる必要があります)
セキュリティを強化するために、各認証コードを1回だけ使用できるようにし、各リクエストで新しい認証コードを返すようにすることができます。(ただし、いずれかのリクエストが失敗した場合は、ページをリロードする必要があります)
Pagemethodsは、ページにローカルなミニWebサービスのようなものと考えてください。実際には、Webサイト全体に配置されているものと、選択したものを除いて、追加のチェックと検証は行われません。
Pagemethodsを使用することは、「カプセル化」の観点からは賢明なアイデアであり、Pagemethodsを使用する場合は、追加のセキュリティ対策を講じようとしても問題はありません。